T-JSQX 0002-2022 车载通信终端设备安全要求

33.050

M32JSQX

00022022

requirements

communication

terminal

全国团体标准信息平台T/JSQX

0002—2022全国团体标准信息平台 前言

...........................................................................

II1

范围.................................................................................

12

规范性引用文件.......................................................................

13

术语和定义...........................................................................

14

缩略语...............................................................................

15

车载通信终端安全要求.................................................................

1.........................................................................

1操作系统安全.....................................................................

2.........................................................................

3.........................................................................

4.........................................................................

5IT/JSQX

0002—2022前 言本文件按照

—2020

第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省智能网联汽车标准化技术委员会（）提出并归口。本文件主单位：无锡智汇交通科技（无锡）科技工业大学（威海）能源汽车联网（）信息通信科技有限公司、中兴通讯股份有限公司。本文件主要起草人：华贤平、李丽、陈秋、刘志杰、王汉振、王佰玲、刘红日、徐东亮、魏玉良、徐志强、李吉、王秀娟、庄宝森、董接莲、葛元、许丹妮、肖小珊、赵明。II全国团体标准信息平台T/JSQX

0002—2022全国团体标准信息平台1

范围本文件规定了车载通信终端的安全要求、操作系统安全、、数据安全、等。本文件适用于整车、零部件企业的车载通信终端设备的设计和研发。2

规范性引用文件下列文件中的内容通过文中而构成必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于；日期，其最新版包括所有的修改单）适用于本文件。GB/T

19596 电动GB/T

电动汽车

第1总则3

术语和定义GB/T

19596、GB/T

界定的以及下列适用于车载通信终端设备通过4G/5G通信、GPS卫星定位、加速度传感和通讯等技术为整供远程通讯接口，实现包括行车数据、行驶轨迹记录、车辆故障监控、车辆远程查询和控制、分析等服务的网联功能单元。4

缩略语下列缩略语适用于ACL：访问控制列表（Access

）CPA：分析（Correlation

）DDoS：分布式拒绝服务攻击（

Service）DoS：拒绝服务攻击（Denial

）DPA：差分分析（Differential

）OTA：空中下载技术（Over-the-Air

Technology）QoS：（

of

）SPA：简单分析（Simple

）VPN：虚拟络（Virtual

Private

Network）5

车载通信终端安全要求硬件安全5.1.1 设计安全5.1.1.1 车载通信终端系统所使芯片不应存在可内存进行访问或者更改芯片功隐蔽接口。芯片在设计使用的调试接口应在上市产品中禁用。1全国团体标准信息平台T/JSQX

0002—2022全国团体标准信息平台5.1.1.2 车载通信终端系统的电路板存在用以标注、端口和管脚功能的可读丝印。5.1.1.3 车载通信终端系统芯片感数据的通信量隐蔽，对抗针对车载通信终端内部数据传输的和伪造攻击。在板载芯片中，不应存在可非法对芯片内更能的隐蔽接口。5.1.1.4 车载通信终端所使关键宜尽量减少暴露管脚。5.1.2 访问控制5.1.2.1 车载通信终端应具有存储和隔离敏感数据的安全区域或安全模块，车载通信终端设备重要数据安全存储与。5.1.2.2 在安全区域或模块中一次性写入的敏感信应保证无法非或者篡改。板载芯片的诊断应具有鉴权功或安全模块应具备检测与处置非授权访问的能力，对解。应对板载芯片接口禁用施安全。5.1.3 抗攻击防护5.1.3.1 使用必要的安全机制，防御针对芯片的电压、、电磁、激光等方式的故障注入攻击。5.1.3.2 使用必要的防护措施，对抗针对加密芯片的简单功耗分析（）攻击、一阶差分功耗分析（DPA）攻击、分析（CPA），以运行、温度等其它信息进行的侧信道攻击。5.1.3.3 使用必要的防护机制，对抗针对车载通信终端内存的侵入和篡改攻击。操作系统安全5.2.1 操作系统安全启动应在安全存储区域存储签名启动时应使制，在验证并判定通过后，再从可信存储区域加，避免加载被篡改的操作系统。5.2.2 多操作系统隔离如车载通信终端存在多个，应采用隔离机制，保证不同操作系统之间防护。5.2.3操作系统加载应用程序应提供制，只能加载启动程序，能够验证来源和完整性，避免运行恶意程序。5.2.4 系统安全防护5.2.4.1 应采用完整性校验手段，对关键代码或文件进行完整性保护。当用要远程登录系统时，用户首先到官方网站下载登录客户端和身份证书，然后向车辆登录，过验证数字签名对请求者进行身份鉴权。5.2.4.2 车载通信终端系统不应存在后门，也不应存在于“中国汽车行业平台（CAVD）”以及“国家信息安全平台（CNVD）”发布了

6

个月及以上的高危安全漏洞。系统应具有能够及时进行漏洞修复的方式。车载系统应利用车辆联网状态定期检测系统开发商有没有发布系统更新并自动下载更新。5.2.5 资源访问控制5.2.5.1 应采取适用于各应用场景的告知和控制方式，当应用对系统敏感资源调用时用户可知。并提供设置开关，供用意或者拒绝该项调5.2.5.2 应通过可信执行环境，为基于敏感关键供安全执行空间，控制对密钥、CAN

控制器等关键资源的，保护资源保密性和完整性，对抗非授权访问和篡改等多种攻击。5.2.6 安全日志记录及审计控制5.2.6.1 应具备支持对关键事件的日志功能，事件的时间、对象、和结果等。2全国团体标准信息平台T/JSQX

0002—2022全国团体标准信息平台5.2.6.2 应具备支持传功能，上传时对云端进行认证；根据云端管理需求，采取安全的方输日志，确保数据的完整认证5.2.6.3 应采取机制，对日志读取写入的权限应对存储安全。5.2.7系统软件更新与固件更新5.2.7.1 应只接收在约况辆系统下发起的车载通信终端操作系统和应用等软件的更新请求，并在用户确认后执行更新操作。5.2.7.2 软件更新时，够对提供更新软件包的来源鉴别，并对接收到的更新进行完整性校验。软件升级应不影响用户设置和用户具有备份和恢复能力，能够在软件更新发生异常时进行必，新导致失效对行为进行记录定内升级尝试次数上限，通过升级尝试对车辆资源消耗。在不影响终端正常使安全的前提下，应能够进行操作系统的补丁安装以及

FOTA

的升级。5.2.7.3 车载通信终端在向其他或传输更新更新命令时，应能够及时声明自己的身份和权供或进行认证；只有认证通过后，才可以继续执行。5.2.7.4 在车辆硬件资源允许的情况下，应具备

OTA

远程升级能力。5.2.8 介质接口安全5.2.8.1 车载通信终端不应未经声明的外围介质接口。5.2.8.2 车载通信终端应定义通过外围接口接入的存储介质上的文件类型和权限，并限制通过介质接口对车载通信终端的操作类型。5.2.8.3 应使用必要的方法，对修改系统配置或者运行的文件进行，并根据检测结警及处置。应用安全5.3.1 应用软件安全基本要求5.3.1.1 应用软件不应后门，也不应存在于“中国行业漏洞共享平台（CAVD）”以及信息安全平台（CNVD）”发布了

6

及以上的高危安全漏洞。5.3.1.2 应用软含有非授权收泄露用户信息、非法数据外传等恶意行为。5.3.1.3 应用软以明文形式存储用户敏感信息。5.3.1.4 应用软件应使制，对抗针对逆向分析。5.3.2 应用软件签名认证机制应用软件应采用符合要求的签名认证机制。5.3.3 应用软件运行要求5.3.3.1 关键应用程序在启动时应执行自检，检查程序运行时所必须的条件，确保程和所行环境的安全性。5.3.3.2 应用软件运行期间，应具备运行验证及编译混淆能力，防止运行数据被非法分析或代码被非法执行。5.3.3.3 应使用安全机制，防止和检测应用软件之间不必要的访问，避免数据泄漏、授权等问题。5.3.3.4 应具备识别、阻断恶意软力，隔绝已经被感染的文件，软件的恶意访问。5.3.4 安全审计要求应用程序应具备记录应用状态及使用情况的日志功能，并支持集中管理。5.3.5 应用流程安全性要求5.3.5.1 应用程序器的交互，应使用安全通信协议。3全国团体标准信息平台T/JSQX

0002—2022全国团体标准信息平台5.3.5.2 应用程序器应有双证机制。通信安全5.4.1 有线5.4.1.1对车内子的安全控制5.4.1.1.1 应使用必手段，对包括车载通信终端在各电子电气系统进行子系统或者域的划分。子或者域应有不同的信息安全等级采用加密、认证等安全关键通信数据的保密性、完整性、放攻击。5.4.1.1.2 应建立跨子系统或者域间通信的安全访问策略，车载通信终端与高级别的子系统之间应采取措施。并通能设计的配合，避免由于车载通信终端的信息安全问题造成该类子系统功错误或异常具有安全存储功能，将用于安全通信的密钥等相关信息进行加密存储具有网络监测机制，提供针对报文异常和的实时监测，并提供分析统计和告警等。5.4.1.1.3 车载通信终端应在与车内各电子电气系统的通信数据上加载身份标识，供其他电子电气系统验证。同时具有验证所接收到的通信数据的发送方身份的能力对需要网络通信的业务重要性划分优先等级，优先保障高优业务的网络通信需求。5.4.1.2 对车内部可靠可用性的5.4.1.2.1 车载通信终端应具备冗余和重制，保证对电子电气系统发送重要数据时，传输数据的可靠够抵抗拒绝服务攻击。5.4.1.2.2车载通信终端向车内电子电气系统发送数据和转时，应采用相应技术避免大量集中发送数据包导致的总线拥塞和拒绝服务。应对网络操作和安全事件生成日志记录。5.4.1.2.3 车载通信终端应建立监，实时监测向车内电子电气系统发送，对于异常情况应及时发现并告警。5.4.2 无线5.4.2.1 蜂窝网络5.4.2.1.1 车载通信终端应使制，识别伪基站，确保接入真实可靠的蜂窝网络。5.4.2.1.2 车载通信终端与核心业务平台采络或者虚拟专用网络通信。应支持蜂窝数据传输

隧道功对外部实体发起的通信连接请求进行身份认证够识别来自蜂窝网络的非法连接请求，过滤恶包过外围接口接入的存储介质上类型和权制通过对络设备进行类型。随着外设种类越来越多，同时也出现了各种，应确保新的组合对最低并保证系统最优。5.4.2.1.3 车载通信终端应采取技术，禁用业务所不需要的蜂窝网络通信功能。应关闭用于监听外部服务络服务端口。5.4.2.1.4 通过蜂窝网络传送的针对关键，应采用强验证手段，确保只有授权的主体可以实施相应的操作。需要考虑器之间的安全通信和可信认证问题。5.4.2.1.5应根据不同重要性划分优先级，保障关键业务具有网络通信的优先使用权。应对车载通信终端的硬件实施加固，利用安全单元，完成车载通信终端配置信息以及其他一些隐私数据的完整性校验存储等功能，保证靠性和完整性。5.4.2.2 车车通信安全5.4.2.2.1 车载通信终端应具备保证唯一性的身份标识，并可连接的通信节点进行身份验证，且该身份泄露用户隐私。应实现服务器与车载通信终端之间的双向认证，单元（SecureElement

通常以芯片形式提供。为防止外部恶意解，保护，中具有加密/解密逻辑电路。称

SE）优化端的认证过程，阻止移动终端对网络环境的破坏。5.4.2.2.2 车载通信终端应支持数字证书或完备的密钥生成机制和管理机制，用于身份认证、通信加密和完整性保护。4全国团体标准信息平台T/JSQX

0002—2022全国团体标准信息平台5.4.2.3 短距离接安全5.4.2.3.1 车载通信终端应具备用户手动打开、关闭短距离（无特殊说明，一般为

10

米以内）无线连接的能力。与远程服务平台通信时，应能够互相认证对方的身份，当双方身份相互验证合法后，建立通信链路连接。5.4.2.3.2 已建立的短距离无线连接，应在相输出确的连接状态显示。应具有针对网络传输的访问控制功能。5.4.2.3.3 车载通信终端的应用调用离无线连接功能时，车载通信终端应能够明示用户，并提供配置能力和符合场景的配置方式。应采用安全通信或数据加密的机制。5.4.2.3.4 车载通信终端应只在特定工况下接来通信连接以保证车辆，并对连接请求的设备认。需要用户操作的步骤，应向用户提供应用的处理方式对外界接入访问进行监视和。5.4.2.3.5 车载通信终端发起对外连接时，应对外部设备认证，并尽量启协议所支持的安全模式进行具有安全存储功能，将用于安全通信的密钥等相关信息进行加密存储保证其完整性。应具有日志审计功具有名单功能，对外部接入设备应限制。注：短距离无线连接包括但不

Wi-Fi、、。数据安全5.5.1 采集5.5.1.1 车载通信终端的与用户身置信息等相关的敏感数据，过显式的方式告知用户并获得用户确认，应说明采集所依据的法律法规或者业务需5.5.1.2 车载通信终端对用户采集应在提供相应的同时进行。若出于业务需要而必须采集相关，应向用户明示事先采集的目，并且只有在用户同意的情况下方可继续。5.5.1.3车载通信终端用户使用行为等用户数据时，应提示用户并向用户提供关闭数据采集的功能。在执行此类，应对用份进行认证过制辆接入安全保护机制，保证在用户知情的情况下被访问，从而防止非法数据传送和数据访问。5.5.1.4 车载通信终端应具备支持国家监管部门依法进行数据采集